Melhores práticas operacionais para o PCI DSS 3.2.1 - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas operacionais para o PCI DSS 3.2.1

Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo de mapeamento entre o Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 e as regras gerenciadas do AWS Config. Cada AWS Config regra se aplica a um AWS recurso específico e está relacionada a um ou mais controles PCI DSS. Um controle PCI DSS pode estar relacionado a várias regras de Config. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.

ID de controle Descrição do controle AWSRegra de configuração Orientação
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

alb-http-drop-invalid-habilitado para cabeçalho

Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

no-unrestricted-route-to-igw

Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.2.1 Restrinja o tráfego de entrada e saída ao que é necessário para o ambiente de dados do titular do cartão e, especificamente, negue todos os outros tráfegos.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

alb-http-drop-invalid-habilitado para cabeçalho

Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

no-unrestricted-route-to-igw

Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

alb-http-drop-invalid-habilitado para cabeçalho

Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.3.1 Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

alb-http-drop-invalid-habilitado para cabeçalho

Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.3.2 Limite o tráfego de entrada da Internet aos endereços IP dentro da DMZ.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

alb-http-drop-invalid-habilitado para cabeçalho

Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para descartar cabeçalhos http. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

no-unrestricted-route-to-igw

Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.3.4 Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

elasticsearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio OpenSearch de serviço em uma Amazon VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

netfw-policy-rule-group-associado

Uma política AWS de firewall de rede define como seu firewall monitora e gerencia o tráfego em uma Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

netfw-stateless-rule-group-não vazio

Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

opensearch-in-vpc-only

Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service dentro de um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
1.3.6 Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

rds-cluster-default-admin-verificar

Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque do seu (s) cluster (s) de banco de dados do Amazon Relational Database Service (Amazon RDS).
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

rds-instance-default-admin-verificar

Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de sua (s) instância (s) de banco de dados do Amazon Relational Database Service (Amazon RDS).
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

redshift-default-admin-check

Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque do (s) seu (s) cluster (s) do Amazon Redshift.
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

redshift-default-db-name-verificar

Os nomes padrão são de conhecimento público e devem ser alterados na configuração. Alterar o nome do banco de dados padrão do seu cluster do Amazon Redshift pode ajudar a reduzir a superfície de ataque do seu cluster do Redshift.
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

root-account-mfa-enabled

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
2.1 Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas, terminais point-of-sale (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP) etc.).

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

access-keys-rotated

As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso fica ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de rotação da chave de acesso (Config Default: 90). O valor real deve refletir as políticas da sua organização.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

account-part-of-organizations

O gerenciamento centralizado de AWS contas dentro do AWS Organizations ajuda a garantir que as contas estejam em conformidade. A falta de governança centralizada da conta pode levar a configurações de contas inconsistentes, o que pode expor recursos e dados confidenciais.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-cloud-watch-logs-habilitado

Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-encryption-enabled

Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

cloud-trail-log-file-habilitado para validação

Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

cloudtrail-s3 ativado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

cmk-backing-key-rotation-habilitado

Ative a rotação de chaves para garantir que as chaves sejam giradas quando atingirem o final do período criptográfico.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

ec2- ebs-encryption-by-default

Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, ative a criptografia em repouso para ajudar a proteger esses dados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

ec2- instance-multiple-eni-check

Essa regra verifica se suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) têm vários ENIs. Ter vários ENIs pode causar instâncias com hospedagem dupla, ou seja, instâncias com várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: “Center for Internet Security (CIS)” “International Organization for Standardization (ISO) “ SysAdmin Audit Network Security (SANS) Institute of Standards Technology (NIST)”.

ec2- -check managedinstance-association-compliance-status

Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

ec2- -check managedinstance-patch-compliance-status

Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

ec2- security-group-attached-to -eni-periódico

Essa regra garante que os grupos de segurança sejam vinculados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

volumes criptografados

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS).
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-no-inline-policy-verificar

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-policy-no-statements-with-admin-access

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-user-group-membership-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-user-no-policies-verificar

Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

iam-user-unused-credentials-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor como maxCredentialUsage Idade (Config Default: 90). O valor real deve refletir as políticas da sua organização.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

mfa-enabled-for-iam-acesso ao console

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

root-account-hardware-mfa-habilitado

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

root-account-mfa-enabled

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: “Center for Internet Security (CIS)” “International Organization for Standardization (ISO) “ SysAdmin Audit Network Security (SANS) Institute of Standards Technology (NIST)”.

s3- bucket-replication-enabled

A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. O CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

habilitado para s3 bucket-server-side-encryption

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

s3- bucket-ssl-requests-only

Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
2.2 Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) • National Institute of Standards Technology (NIST).

vpc-flow-logs-enabled

Os registros de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede na sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

ssh restrito

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

autoscaling-launch-config-public-ip desativado

Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

dms-replication-not-public

Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

ebs-snapshot-public-restorable-verificar

Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

ec2- instance-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

emr-master-no-public-ip

Gerencie o acesso à AWS nuvem garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

ec2- instances-in-vpc

Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

lambda-function-public-access-proibido

Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

lambda-inside-vpc

Implante funções AWS Lambda em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS Por causa de seu isolamento lógico, os domínios que residem em uma Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

no-unrestricted-route-to-igw

Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway de internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional ao seu ambiente.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

rds-instance-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

rds-snapshots-public-prohibited

Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

redshift-cluster-public-access-verificar

Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

restricted-common-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Config Defaults: 20,21.3389.3306.4333). Os valores reais devem refletir as políticas da sua organização.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

s3- account-level-public-access -blocos-periódicos

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

s3- -proibido bucket-level-public-access

Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

s3- bucket-public-read-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

s3- bucket-public-write-prohibited

Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

sagemaker-notebook-no-direct-acesso à internet

Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

ssm-document-not-public

Certifique-se AWS de que os documentos do Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

subnet-auto-assign-public-ip desativado

Gerencie o acesso à AWS nuvem garantindo que as sub-redes da Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

vpc-default-security-group-fechado

Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos.
2.2.2 Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema.

vpc-sg-open-only-to-authorized-ports

Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
2.2.3 Implemente recursos de segurança adicionais para quaisquer serviços, protocolos ou daemons necessários que sejam considerados inseguros.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
2.3 Criptografe todo o acesso administrativo que não seja do console usando criptografia forte.

alb-http-to-https-verificação de redirecionamento

Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
2.3 Criptografe todo o acesso administrativo que não seja do console usando criptografia forte.

api-gw-ssl-enabled

Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway.
2.3 Criptografe todo o acesso administrativo que não seja do console usando criptografia forte.

elb-tls-https-listeners-somente

Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
2.3 Criptografe todo o acesso administrativo que não seja do console usando criptografia forte.

opensearch-https-required

Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com seus domínios do Amazon OpenSearch Service.
2.3 Criptografe todo o acesso administrativo que não seja do console usando criptografia forte.

redshift-require-tls-ssl

Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
2.4 Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS.

ec2- security-group-attached-to -eni-periódico

Essa regra garante que os grupos de segurança sejam vinculados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente.
2.4 Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS.

anexado ao EIP

Essa regra garante que os IPs elásticos alocados para uma Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
2.4 Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS.

ec2- -manager instance-managed-by-systems

É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o Systems Manager. AWS Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão, além de outros detalhes sobre seu ambiente.
2.4 Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS.

vpc-network-acl-unused-verificar

Essa regra garante que as listas de controle de acesso à rede Amazon Virtual Private Cloud (VPC) estejam em uso. O monitoramento de listas de controle de acesso à rede não utilizadas pode ajudar no inventário e no gerenciamento precisos do seu ambiente.
3.1 Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade de armazenamento e o tempo de retenção de dados ao necessário para requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não são mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida.

s3- lifecycle-policy-check

Garanta que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado).
3.1 Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade de armazenamento e o tempo de retenção de dados ao necessário para requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não são mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida.

backup-plan-min-frequency-and-min-retention-check

Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização.
3.1 Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade de armazenamento e o tempo de retenção de dados ao necessário para requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não são mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida.

backup-recovery-point-minimum-verificação de retenção

Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação de AWS backup tenham um período mínimo de retenção definido. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina o parâmetro requiredRetentionDays (configuração padrão: 35). O valor real deve refletir os requisitos da sua organização.
3.1 Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade de armazenamento e o tempo de retenção de dados ao necessário para requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não são mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida.

elasticache-redis-cluster-automatic-verificação de backup

Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

backup-recovery-point-encrypted

Certifique-se de que a criptografia esteja ativada para seus pontos AWS de recuperação de Backup. Como dados confidenciais podem existir em repouso, ative a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

cloud-trail-encryption-enabled

Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

cloudwatch-log-group-encrypted

Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

ec2- ebs-encryption-by-default

Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, ative a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

efs-encrypted-check

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS).
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

volumes criptografados

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS).
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

rds-snapshot-encrypted

Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, ative a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

rds-storage-encrypted

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

habilitado para s3 bucket-server-side-encryption

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

s3- default-encryption-kms

Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

sagemaker-endpoint-configuration-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

sagemaker-notebook-instance-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados.
3.4 Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os pads devem ser armazenados com segurança) • Criptografia forte com a chave associada processos e procedimentos de gestão. Nota: É um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original.

sns-encrypted-kms

Para ajudar a proteger dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia AWS usando o Key Management Service AWS (KMS). Como dados confidenciais podem existir em repouso em mensagens publicadas, ative a criptografia em repouso para ajudar a proteger esses dados.
3.5.2 Restrinja o acesso às chaves criptográficas ao menor número de custodiantes necessário.

iam-customer-policy-blocked-kms-actions

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização
3.5.2 Restrinja o acesso às chaves criptográficas ao menor número de custodiantes necessário.

iam-inline-policy-blocked-kms-actions

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização.
3.5.3 Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografada com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou point-of-interaction dispositivo aprovado pelo PTS) • Como em pelo menos dois componentes chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um dos essas formas.

s3- default-encryption-kms

Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
3.5.3 Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografada com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou point-of-interaction dispositivo aprovado pelo PTS) • Como em pelo menos dois componentes chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um dos essas formas.

sagemaker-endpoint-configuration-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados.
3.5.3 Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografada com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou point-of-interaction dispositivo aprovado pelo PTS) • Como em pelo menos dois componentes chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um dos essas formas.

sagemaker-notebook-instance-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados.
3.6.4 Alterações de chave criptográfica para chaves que atingiram o final de seu criptoperíodo (por exemplo, após um determinado período de tempo e/ou após uma certa quantidade de texto cifrado ter sido produzida por uma determinada chave), conforme definido pelo fornecedor do aplicativo associado ou proprietário da chave, e com base nas melhores práticas e diretrizes do setor (por exemplo, a Publicação Especial 800-57 do NIST).

cmk-backing-key-rotation-habilitado

Ative a rotação de chaves para garantir que as chaves sejam giradas quando atingirem o final do período criptográfico.
3.6.5 Aposentadoria ou substituição (por exemplo, arquivamento, destruição e/ou revogação) de chaves conforme considerado necessário quando a integridade da chave foi enfraquecida (por exemplo, saída de um funcionário com conhecimento de um componente chave de texto não criptografado) ou quando há suspeita de que as chaves estão comprometidas. Nota: Se as chaves criptográficas retiradas ou substituídas precisarem ser mantidas, essas chaves devem ser arquivadas com segurança (por exemplo, usando uma chave de criptografia de chave). As chaves criptográficas arquivadas só devem ser usadas para fins de decodificação/verificação.

kms-cmk-not-scheduled-para exclusão

Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão no AWS Key Management Service (AWSKMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso uma chave tenha sido agendada involuntariamente.
3.6.7 Prevenção da substituição não autorizada de chaves criptográficas.

kms-cmk-not-scheduled-para exclusão

Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão no AWS Key Management Service (AWSKMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso uma chave tenha sido agendada involuntariamente.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

acm-certificate-expiration-check

Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor para daysToExpiration (valor das melhores práticas de segurança AWS básicas: 90). O valor real deve refletir as políticas da sua organização.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

alb-http-to-https-verificação de redirecionamento

Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

api-gw-ssl-enabled

Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

elasticsearch-node-to-node-verificação de criptografia

Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

elb-tls-https-listeners-somente

Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

elbv2- acm-certificate-required

Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

opensearch-https-required

Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com seus domínios do Amazon OpenSearch Service.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

opensearch-node-to-node-verificação de criptografia

Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

redshift-require-tls-ssl

Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso suporta apenas versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacotes (GPRS) • Comunicações via satélite

s3- bucket-ssl-requests-only

Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

elastic-beanstalk-managed-updates-habilitado

Habilitar atualizações gerenciadas de plataforma para um ambiente Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é uma prática recomendada para proteger sistemas.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

ec2- -check managedinstance-association-compliance-status

Use o AWS Systems Manager Associations para ajudar no inventário de plataformas e aplicativos de software em uma organização. AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

ec2- -check managedinstance-patch-compliance-status

Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se as instâncias do Amazon EC2 estão em conformidade com patches no AWS Systems Manager, conforme exigido pelas políticas e procedimentos da sua organização.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

ecs-fargate-latest-platform-versão

Atualizações e patches de segurança são implantados automaticamente para suas tarefas do AWS Fargate. Se for encontrado um problema de segurança que afete uma versão da plataforma AWS Fargate, AWS corrija a versão da plataforma. Para ajudar no gerenciamento de patches de suas tarefas do Amazon Elastic Container Service (ECS) executando o AWS Fargate, atualize as tarefas autônomas de seus serviços para usar a versão mais recente da plataforma.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

rds-automatic-minor-version-habilitado para atualização

Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as últimas atualizações de versões secundárias do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) estejam instaladas, o que pode incluir patches de segurança e correções de bugs.
6.2 Garanta que todos os componentes e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

redshift-cluster-maintenancesettings-check

Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina allowVersionUpgrade o. O padrão é verdadeiro. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat: 16:00 -sat: 16:30) e o automatedSnapshotRetention Período (o padrão é 1). Os valores reais devem refletir as políticas da sua organização.
6.3.2 Revise o código personalizado antes do lançamento para produção ou para os clientes para identificar qualquer potencial vulnerabilidade de codificação (usando processos manuais ou automatizados), incluindo pelo menos o seguinte: • As alterações no código são analisadas por pessoas que não são o autor do código original e por pessoas com conhecimento sobre técnicas de revisão de código e práticas seguras de codificação. • As análises de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação segura • As correções apropriadas são implementadas antes do lançamento. • Os resultados da revisão do código são revisados e aprovados pela gerência antes do lançamento. (Continua na próxima página)

ecr-private-image-scanning-habilitado

A digitalização de imagens do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do seu contêiner. Habilitar a digitalização de imagens em repositórios ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

alb-desync-mode-check

Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização de HTTP, certifique-se de que o modo de mitigação de dessincronização de HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão.
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

alb-waf-enabled

Certifique-se de que o AWS WAF esteja ativado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

api-gw-associated-with-onda

AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (Web ACL)) que permite, bloqueia ou conta solicitações da web com base nas regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

waf-regional-rule-not-vazio

Certifique-se de que seu AWS WAF tenha uma regra que não esteja vazia. Uma regra sem condições pode resultar em comportamento não intencional.
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

waf-regional-rulegroup-not-vazio

Certifique-se de que seu AWS WAF tenha um grupo de regras que não esteja vazio. Um grupo de regras vazio pode resultar em um comportamento não intencional.
6.6 Para aplicativos web voltados para o público, aborde novas ameaças e vulnerabilidades continuamente e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da web voltados para o público por meio de ferramentas ou métodos de avaliação de segurança de vulnerabilidades de aplicativos manuais ou automatizados, pelo menos uma vez por ano e após qualquer alteração Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e evita ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da web voltados para o público, para verificar continuamente todo o tráfego.

waf-regional-webacl-not-vazio

Uma Web ACL anexada a um AWS WAF pode conter uma coleção de regras e grupos de regras para inspecionar e controlar solicitações da web. Se uma Web ACL estiver vazia, o tráfego da Web passará sem ser detectado ou acionado pelo WAF.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

ecs-task-definition-nonroot-usuário

Para ajudar na implementação do princípio do privilégio mínimo, assegure-se de que um usuário não raiz seja designado para acessar suas definições de tarefas do Amazon Elastic Container Service (Amazon ECS).
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

s3- bucket-acl-prohibited

Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos legados de controle de acesso para buckets do Amazon S3 AWS anteriores ao Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos seus buckets do S3.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

ecs-containers-nonprivileged

Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter privilégios elevados habilitados. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

ecs-containers-readonly-access

Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir ao princípio de menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

efs-access-point-enforce-diretório-raiz

A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

efs-access-point-enforce-identidade do usuário

Para ajudar na implementação do princípio do menor privilégio, garanta que a fiscalização do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

emr-kerberos-enabled

As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-customer-policy-blocked-kms-actions

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-group-has-users-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-inline-policy-blocked-kms-actions

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-no-inline-policy-verificar

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-policy-no-statements-with-admin-access

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-policy-no-statements-with-full-access

Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-user-group-membership-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

iam-user-no-policies-verificar

Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
7.1.1 Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos.

opensearch-access-control-enabled

Garanta que o controle de acesso refinado esteja ativado em seus domínios do Amazon OpenSearch Service. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado aos domínios do Amazon Service. OpenSearch Ele permite o controle de acesso baseado em funções ao domínio, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis de OpenSearch serviço e autenticação básica HTTP para Service e Kibana. OpenSearch
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-customer-policy-blocked-kms-actions

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-group-has-users-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-inline-policy-blocked-kms-actions

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-no-inline-policy-verificar

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-policy-no-statements-with-admin-access

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-policy-no-statements-with-full-access

Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-user-group-membership-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.1.2 Restrinja o acesso a IDs de usuários privilegiados ao mínimo de privilégios necessários para desempenhar as responsabilidades do trabalho.

iam-user-no-policies-verificar

Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

ecs-containers-nonprivileged

Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter privilégios elevados habilitados. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

ecs-containers-readonly-access

Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir ao princípio de menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

efs-access-point-enforce-diretório-raiz

A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

efs-access-point-enforce-identidade do usuário

Para ajudar na implementação do princípio do menor privilégio, garanta que a fiscalização do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

emr-kerberos-enabled

As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-customer-policy-blocked-kms-actions

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-group-has-users-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-inline-policy-blocked-kms-actions

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-no-inline-policy-verificar

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-policy-no-statements-with-admin-access

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-policy-no-statements-with-full-access

Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-user-group-membership-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

iam-user-no-policies-verificar

Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
7.2.1 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema

opensearch-access-control-enabled

Garanta que o controle de acesso refinado esteja ativado em seus domínios do Amazon OpenSearch Service. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado aos domínios do Amazon Service. OpenSearch Ele permite o controle de acesso baseado em funções ao domínio, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis de OpenSearch serviço e autenticação básica HTTP para Service e Kibana. OpenSearch
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

ecs-containers-nonprivileged

Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter privilégios elevados habilitados. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

ecs-containers-readonly-access

Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir ao princípio de menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

efs-access-point-enforce-diretório-raiz

A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

efs-access-point-enforce-identidade do usuário

Para ajudar na implementação do princípio do menor privilégio, garanta que a fiscalização do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

emr-kerberos-enabled

As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de privilégio mínimo e separação de tarefas, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem em um reino Kerberos. Dentro do reino, um servidor Kerberos é conhecido como centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-customer-policy-blocked-kms-actions

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de tarefas com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em AWS todas as chaves do Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-group-has-users-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar privilégios mínimos.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-inline-policy-blocked-kms-actions

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para permitir ações bloqueadas em AWS todas as chaves do Key Management Service. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o blockedActionsPatterns parâmetro. (Valor AWS básico das melhores práticas de segurança: kms:Decrypt, kms:). ReEncryptFrom Os valores reais devem refletir as políticas da sua organização.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-no-inline-policy-verificar

Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWSrecomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-policy-no-statements-with-admin-access

AWSO Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-policy-no-statements-with-full-access

Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-user-group-membership-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Conceder aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

iam-user-no-policies-verificar

Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
7.2.2 Estabeleça um (s) sistema (s) de controle de acesso para componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do trabalho.

opensearch-access-control-enabled

Garanta que o controle de acesso refinado esteja ativado em seus domínios do Amazon OpenSearch Service. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado aos domínios do Amazon Service. OpenSearch Ele permite o controle de acesso baseado em funções ao domínio, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis de OpenSearch serviço e autenticação básica HTTP para Service e Kibana. OpenSearch
7.2.3 Configuração padrão de “negar tudo”.

s3- bucket-acl-prohibited

Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos legados de controle de acesso para buckets do Amazon S3 AWS anteriores ao Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos seus buckets do S3.
8.1.1 Atribua a todos os usuários uma ID exclusiva antes de permitir que eles acessem componentes do sistema ou dados do titular do cartão.

iam-root-access-key-verificar

O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Certifique-se de que as chaves de acesso raiz sejam excluídas. Em vez disso, crie e use AWS contas baseadas em funções para ajudar a incorporar o princípio da menor funcionalidade.
8.1.4 Remova/desative contas de usuário inativas em 90 dias.

iam-user-unused-credentials-verificar

AWSO Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor como maxCredentialUsage Idade (Config Default: 90). O valor real deve refletir as políticas da sua organização.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

codebuild-project-environment-privileged-verificar

Para ajudar na implementação do princípio do menor privilégio, certifique-se de que seu ambiente de CodeBuild projeto da Amazon não tenha o modo privilegiado ativado. Essa configuração deve ser desativada para evitar o acesso não intencional às APIs do Docker, bem como ao hardware subjacente do contêiner.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

ecs-no-environment-secrets

Como prática recomendada de segurança, passe informações confidenciais para contêineres como variáveis de ambiente. Você pode injetar dados com segurança em seus contêineres do Amazon Elastic Container Service (ECS) referenciando valores armazenados no AWS Systems Manager Parameter Store ou no Secrets Manager AWS na definição de contêiner de uma definição de tarefa do Amazon ECS. Em seguida, você pode expor suas informações confidenciais como variáveis de ambiente ou na configuração de log de um contêiner.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

alb-http-to-https-verificação de redirecionamento

Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

api-gw-ssl-enabled

Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

ec2- ebs-encryption-by-default

Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

efs-encrypted-check

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS).
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

elasticsearch-encrypted-at-rest

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch OpenSearch Service (Service).
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

elb-tls-https-listeners-somente

Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

volumes criptografados

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS).
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

opensearch-encrypted-at-rest

Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch Service.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

rds-snapshot-encrypted

Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

rds-storage-encrypted

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

habilitado para s3 bucket-server-side-encryption

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

s3- bucket-ssl-requests-only

Para ajudar a proteger os dados em trânsito, garanta que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como podem existir dados confidenciais, ative a criptografia em trânsito para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

s3- default-encryption-kms

Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

sagemaker-endpoint-configuration-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

sagemaker-notebook-instance-kms-configurado por chave

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

secretsmanager-using-cmk

Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWSKMS) esteja habilitada para AWS segredos do Secrets Manager. Como dados confidenciais podem existir em repouso nos segredos do Secrets Manager, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.

sns-encrypted-kms

Para ajudar a proteger dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia AWS usando o Key Management Service AWS (KMS). Como dados confidenciais podem existir em repouso em mensagens publicadas, ative a criptografia em repouso para ajudar a proteger esses dados.
8.2.3 As senhas/frases secretas devem atender ao seguinte: • Exigir um tamanho mínimo de pelo menos sete caracteres. • Contém caracteres numéricos e alfabéticos. Como alternativa, as senhas/frases secretas devem ter complexidade e força pelo menos equivalentes aos parâmetros especificados acima.

iam-password-policy

As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (padrão do PCI DSS: falso), RequireLowercaseCharacters (padrão do PCI DSS: verdadeiro), (padrão do PCI DSS: falso), RequireSymbols (padrão do PCI DSS: verdadeiro), RequireNumbers (padrão do PCI DSS: 7), MinimumPasswordLength (padrão do PCI DSS: 4) e PasswordReusePrevention MaxPasswordAge (padrão do PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
8.2.4 Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias.

access-keys-rotated

As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso fica ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de rotação da chave de acesso (Config Default: 90). O valor real deve refletir as políticas da sua organização.
8.2.4 Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias.

iam-password-policy

As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (padrão do PCI DSS: falso), RequireLowercaseCharacters (padrão do PCI DSS: verdadeiro), (padrão do PCI DSS: falso), RequireSymbols (padrão do PCI DSS: verdadeiro), RequireNumbers (padrão do PCI DSS: 7), MinimumPasswordLength (padrão do PCI DSS: 4) e PasswordReusePrevention MaxPasswordAge (padrão do PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
8.2.4 Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias.

secretsmanager-rotation-enabled-check

Essa regra garante que AWS os segredos do Secrets Manager tenham a rotação ativada. A rotação de segredos em uma programação regular pode reduzir o período em que um segredo está ativo e potencialmente reduzir o impacto nos negócios se o segredo for comprometido.
8.2.5 Não permita que um indivíduo envie uma nova senha/frase secreta que seja igual a qualquer uma das últimas quatro senhas/frases secretas que ele ou ela usou.

iam-password-policy

As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (padrão do PCI DSS: falso), RequireLowercaseCharacters (padrão do PCI DSS: verdadeiro), (padrão do PCI DSS: falso), RequireSymbols (padrão do PCI DSS: verdadeiro), RequireNumbers (padrão do PCI DSS: 7), MinimumPasswordLength (padrão do PCI DSS: 4) e PasswordReusePrevention MaxPasswordAge (padrão do PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
8.3.1 Incorpore a autenticação multifatorial para todos os acessos que não sejam do console ao CDE para funcionários com acesso administrativo.

iam-user-mfa-enabled

Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
8.3.1 Incorpore a autenticação multifatorial para todos os acessos que não sejam do console ao CDE para funcionários com acesso administrativo.

mfa-enabled-for-iam-acesso ao console

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
8.3.1 Incorpore a autenticação multifatorial para todos os acessos que não sejam do console ao CDE para funcionários com acesso administrativo.

root-account-hardware-mfa-habilitado

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
8.3.1 Incorpore a autenticação multifatorial para todos os acessos que não sejam do console ao CDE para funcionários com acesso administrativo.

root-account-mfa-enabled

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
8.3.2 Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade.

iam-user-mfa-enabled

Ative essa regra para restringir o acesso aos recursos na AWS nuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
8.3.2 Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade.

mfa-enabled-for-iam-acesso ao console

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
8.3.2 Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade.

root-account-hardware-mfa-habilitado

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
8.3.2 Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade.

root-account-mfa-enabled

Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário root é o usuário mais privilegiado em uma AWS conta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de contas comprometidas. AWS
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

api-gw-execution-logging-habilitado

O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

elb-logging-enabled

A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

vpc-flow-logs-enabled

Os registros de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede na sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

habilitado para registro em wafv2

Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

cloudtrail-s3 ativado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual.

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

api-gw-execution-logging-habilitado

O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

cloudtrail-s3 ativado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.1 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os usuários individuais acessam os dados do titular do cartão

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer pessoa com privilégios administrativos ou de raiz

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

cloudtrail-s3 ativado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.3 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

api-gw-execution-logging-habilitado

O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

cloudtrail-s3 ativado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.4 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas inválidas de acesso lógico

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.5 Implemente trilhas de auditoria automatizadas em todos os componentes do sistema para reconstruir os seguintes eventos: Uso e alterações nos mecanismos de identificação e autenticação, incluindo, mas não se limitando à criação de novas contas e elevação de privilégios, e todas as alterações, adições ou exclusões de contas com privilégios administrativos ou de raiz

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.2.6 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.6 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.6 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

api-gw-execution-logging-habilitado

O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.2.7 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

api-gw-execution-logging-habilitado

O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

elb-logging-enabled

A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

multi-region-cloudtrail-enabled

AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

s3- bucket-logging-enabled

O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de cibersegurança. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, o nome do bucket, o horário da solicitação, a ação da solicitação, o status da resposta e um código de erro, se relevante.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

vpc-flow-logs-enabled

Os registros de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede na sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

habilitado para registro em wafv2

Para ajudar com o registro e o monitoramento em seu ambiente, habilite o registro do AWS WAF (V2) em ACLs da web regionais e globais. AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em que o AWS WAF recebeu a solicitação do seu AWS recurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

habilitado para cloudtrail

AWS CloudTrail pode ajudar na não repúdio gravando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e AWS as contas que ligaram para um AWS serviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no Conteúdo do AWS CloudTrail Registro.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

cloudtrail-s3 habilitado para eventos de dados

A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda na detecção de qualquer atividade anômala. Os detalhes incluem informações AWS da conta que acessou um bucket do Amazon S3, endereço IP e horário do evento.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

codebuild-project-logging-enabled

Certifique-se de que o registro AWS CodeBuild do projeto esteja ativado para que seus registros de saída de compilação sejam enviados para a Amazon CloudWatch ou para o Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de compilação.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

elasticsearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

opensearch-audit-logging-enabled

Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

opensearch-logs-to-cloudwatch

Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. OpenSearch Os registros de erros do serviço podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

rds-logging-enabled

Para ajudar com o registro e o monitoramento em seu ambiente, garanta que o registro em log do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
10.3.1 Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário

redshift-cluster-configuration-check

Para proteger dados em repouso, garanta que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve ser ativado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização.
10.5 Proteja as trilhas de auditoria para que não possam ser alteradas.

cloud-trail-encryption-enabled

Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas.
10.5 Proteja as trilhas de auditoria para que não possam ser alteradas.

habilitado para s3 bucket-server-side-encryption

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
10.5 Proteja as trilhas de auditoria para que não possam ser alteradas.

s3- default-encryption-kms

Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
10.5.2 Proteja os arquivos da trilha de auditoria contra modificações não autorizadas.

cloud-trail-encryption-enabled

Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas.
10.5.2 Proteja os arquivos da trilha de auditoria contra modificações não autorizadas.

habilitado para s3 bucket-server-side-encryption

Para ajudar a proteger dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
10.5.2 Proteja os arquivos da trilha de auditoria contra modificações não autorizadas.

s3- default-encryption-kms

Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
10.5.3 Faça backup imediato dos arquivos da trilha de auditoria em um servidor de log centralizado ou em uma mídia que seja difícil de alterar.

s3- lifecycle-policy-check

Garanta que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado).
10.5.3 Faça backup imediato dos arquivos da trilha de auditoria em um servidor de log centralizado ou em uma mídia que seja difícil de alterar.

backup-plan-min-frequency-and-min-retention-check

Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização.
10.5.3 Faça backup imediato dos arquivos da trilha de auditoria em um servidor de log centralizado ou em uma mídia que seja difícil de alterar.

cloud-trail-cloud-watch-logs-habilitado

Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em sua AWS conta.
10.5.3 Faça backup imediato dos arquivos da trilha de auditoria em um servidor de log centralizado ou em uma mídia que seja difícil de alterar.

s3- bucket-replication-enabled

A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. O CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida.
10.5.5 Use software de monitoramento de integridade de arquivos ou de detecção de alterações em registros para garantir que os dados de registro existentes não possam ser alterados sem gerar alertas (embora a adição de novos dados não deva causar um alerta).

cloud-trail-log-file-habilitado para validação

Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção.
10.5.5 Use software de monitoramento de integridade de arquivos ou de detecção de alterações em registros para garantir que os dados de registro existentes não possam ser alterados sem gerar alertas (embora a adição de novos dados não deva causar um alerta).

s3- bucket-versioning-enabled

O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos.
10.7 Mantenha o histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, on-line, arquivada ou restaurável a partir do backup).

s3- lifecycle-policy-check

Garanta que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado).
10.7 Mantenha o histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, on-line, arquivada ou restaurável a partir do backup).

backup-plan-min-frequency-and-min-retention-check

Para ajudar nos processos de backup de dados, certifique-se de que seu plano de AWS backup esteja definido para uma frequência e retenção mínimas. AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e normativos de conformidade de backup. Essa regra permite que você defina os requiredFrequencyValue parâmetros (Config default: 1), ( requiredRetentionDays Config default: 35) e ( requiredFrequencyUnit Config default: days). O valor real deve refletir os requisitos da sua organização.
11.2.3 Execute escaneamentos internos e externos e escaneie novamente conforme necessário, após qualquer alteração significativa. As varreduras devem ser realizadas por pessoal qualificado.

ecr-private-image-scanning-habilitado

A digitalização de imagens do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do seu contêiner. Habilitar a digitalização de imagens em repositórios ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
11.4 Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou evitar intrusões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte a equipe sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de intrusões atualizados.

guardduty-enabled-centralized

A Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de cibersegurança usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seu ambiente de AWS nuvem.
11.4 Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou evitar intrusões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte a equipe sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de intrusões atualizados.

netfw-policy-rule-group-associado

Uma política AWS de firewall de rede define como seu firewall monitora e gerencia o tráfego em uma Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego.
11.5 Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento da integridade de arquivos) para alertar a equipe sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos essenciais do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos essenciais pelo menos semanalmente.

cloud-trail-log-file-habilitado para validação

Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção.
11.5 Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento da integridade de arquivos) para alertar a equipe sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos essenciais do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos essenciais pelo menos semanalmente.

habilitado para hub de segurança

AWSO Security Hub ajuda a monitorar pessoas, conexões, dispositivos e software não autorizados. AWS O Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços. AWS Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon MacieAWS, o Identity and Access Management (IAM) Access Analyzer e o Firewall AWS Manager, além de soluções de parceiros. AWS

Modelo

O modelo está disponível em GitHub: Melhores práticas operacionais para PCI DSS 3.2.1.